前言

网络安全是国家战略安全的一部分，网络空间的博弈对抗，实质上是人与人之间的对抗。网络安全人才是实施国家战略安全的核心力量之一，培养网络安全从业者的实战对抗能力，是落实国家安全战略、确保各行各业网络信息系统安全的基础。《道德经》中提及“知其白，守其黑，为天下式”，对应到网络安全人才成长路线，就是要从了解攻击模式、掌握安全漏洞分析和利用方法开始，制定有效的安全策略，分析可能的安全漏洞，设计安全的程序。

从互联网发展开始到如今，PHP编程语言及基于该语言实现的各类网络信息系统占据了Web应用的半壁江山。历史上，由于缺乏安全编码规范、PHP代码安全分析与审计的工具和方法普及不足等，一度出现了PHP漏洞盛行的不良局面。在此背景下，行业内出现了大量自发学习、研究、运用PHP漏洞分析与代码审计的爱好者，国内CTF类比赛也将这一方向作为重要的考察内容。但是由于缺少相关的系统性学习资料，网文、博客等也多以理论性介绍为主，很多初学者在学习、实践中无从下手。

笔者有幸在该领域躬耕多年，积累了丰富的PHP代码漏洞分析、安全审计实战经验。合作作者李家辉、孔韬循是笔者多年的朋友，在这一领域也颇有建树。在他们的鼓励和帮助下，我们成立了编写组，针对当前PHP代码安全分析领域的特点和需求，结合编写组同人的经历和经验，制订了详细的编写计划，精心设计实验用例并逐一验证测试，进而形成本书的雏形。

在写作过程中，我们发现从不同的思维角度能更清楚地描述网络安全技术。于是，我们邀请广州大学专职教师王乐老师加入编写组，将“实战化教学与思辨能力培养”的教学理念融入本书的设计和编写中，我们齐心合力，经过多轮的修改迭代，最终成稿。

本书可以作为PHP代码安全分析初学者的实验指导书，也可以作为Web安全研究者的参考手册。由于信息技术发展迅速，网络安全对抗与博弈技术瞬息万变，本书的各位作者虽然尽了全力，但难保完美无缺。如果读者发现关于本书的任何问题、不足或建议，请反馈给作者，以期改进！你可以通过QQ交流群（874215647）或者添加作者微信（曹玉杰（xiaoh-660）、李家辉（LJ_Seeu）、孔韬循（Pox-K0r4dji））与我们联系。

曹玉杰

2021年春